SCENARIO 11: firewall 


Je zou kunnen denken dat je pc's ook zonder firewall genoeg afge- 
schermd zijn. Ze krijgen immers van de router een intern ip-adres dat 
van buitenaf niet rechtstreeks te benaderen is. Vraagt een van deze 
pc's een internetverbinding aan, dan noteert de router het interne 
ip-adres van die pc, en stuurt dat verzoek vervolgens met éigen ip- 
adres het wereldwijde web op. Zodra de router een reactie op dat 
verzoek ontvangt, zoekt die snel op welke pc dat had aangevraagd en 
stuurt hij die reactie braafjes door naar dat interne toestel. Krijgt de 
router data binnen die geen reactie zijn op een specifiek verzoek van 
een van de achterliggende pc's, dan negeert hij die zonder meer. 

Dat geeft weliswaar al een zekere veiligheid, maar we raden toch aan 
om op elke pc ook een degelijke firewall te installeren. In Clickx 112 
somden we in de rubriek ‘Haal meer uit je breedbandverbinding’ al een 
aantal voordelen op. Nu levert Windows met Service Pack 2 wel al een 
deftige firewall af, maar jammer genoeg controleert die vooralsnog 
enkel het binnenkomende verkeer. Verkeer dat naar buiten gaat, wordt 
niet nagekeken. Precies daarom kijk je beter uit naar een krachtigere 
firewall. Gratis exemplaren worden steeds zeldzamer, maar eentje is 
nog stevig overeind gebleven: ZoneAlarm... 


STAP 1 / INSTALLATIE & BASISCONFIGURATIE 


Download de gratis versie van ZoneAlarm op Wwww.zonelabs.com/store/con 
ent/company/products/znalm/freeDownload.jsp, Start de installatie door het 


Network Log 


View network activity and security logs. 
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Symantec AntiVirus geeft aan dat het is geïnstalleerd, maar de status ervan is onbekend, Klik op 
Aanbevelingen als u wilt zien welke stappen u kunt nemen. Hoe kan antivirussoftware mijn 


computer beter beveiligen? 
Aanbevelingen. 


Beveiligingsinstellingen beheren in: 


ed Internet-opties K Automatische updates 
@ Windows Firewall 


Microsoft vindt uw privacy belangrijk. Lees onze privacyverklaring, 


Windows Firewall erkent zijn meerdere. 


gedownloade bestand uit te voeren. Is je Windows Firewall nog actief, 
dan krijg je op een bepaald moment een waarschuwing: kies dan voor 
BLOKKERING OPHEFFEN. Meteen na de installatie mag je ZoneAlarm activeren 
door op de knop Yes te drukken. Maak vervolgens duidelijk dat je enkel 
in de gratis versie geïnteresseerd bent door SeLect ZoNEALARM aan te 
stippen. Bevestig met Finisn. Er verschijnt nu een nieuw dialoogvenster 
waarin je tweemaal op Next drukt (laat de standaardinstellingen onge- 
moeid), en dat je vervolgens afsluit met Done. Herstart je computer, en 
je zal merken dat ZoneAlarm in het Beveiligingscentrum van XP de 
bovenhand heeft genomen op Windows Firewall (zie afbeelding 1). 


woensdag 1 februari 2006 16:41:08 DHCP:renew Pe 
woensdag 1 februari 2006 16:41:08 DHCP:ack{(DOL=4541, T1=2420, T2=2480} 
[woensdag 1 februari 2006 16:43:21 Unrecognized attempt blocked from 


6624993. 99:60 toTCP port: 2572 


\woensdag 1 februari 2006 16:43:22 Unrecognized attempt blocked from 


166-249.93.104:80 to TCP port: 2568 


woensdag 1 februari 2006 16:43:22 Unrecognized attempt blocked from 


|66.249.93.104:80 to TCP port 2562 


woensdag 1 februari 2006 16:43:22 Unrecognized attempt hloctked from 


De router houdt vaak erg beperkte veiligheidslogs bij. 
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NEW PROGRAM 


Yahoo! Widget Engine is trying to access 
the Internet. 


|dentification: Not available in ZoneAlarm 
Application: YahooWidgetEngine.exe 
Destination IP: 195.130.131.253:HTTP 


More Information Available: 


This is the program's first attempt to access the 
Internet. 


SmartDefense Advisor 


« _Wantto have fewer alerts? 


Find out how. 


Laat je niet door 
elk alarm uit het 
lood slaan! 


| ALARM! 


Kort na de herstart trakteert ZoneAlarm je wellicht al op een paar 
alarmerende venstertjes. De kans is groot dat het gewoon om bonafide 
programma’s gaat die een internetverbinding zoeken — maar lees er toch 
maar grondig de informatie in het venster op na. Mogelijk brengt de 
knop More inro meer duidelijkheid (zie afbeelding 2). Wil je een bepaalde 
applicatie voor eens en voor altijd toelaten, zet dan eerst een vinkje 
naast REMEMBER THIS SETTING en druk daarna op de knop AuLow. Een twijfel- 
geval trakteer je via de knop Deny maar beter op een (definitief) ‘njet’. 
Installeer je nadien een nieuwe toepassing die contact zoekt met het 
internet, dan zal ZoneAlarm je hiervan op dezelfde manier op de 
hoogte brengen. 


| BEHEERMODULE 


Uiteraard kan je op elk moment de instellingen van ZoneAlarm nog 
bijschaven én ook in alarmberichten en logboeken snuisteren. Dat ge- 
beurt via een beheermodule die je opent via een dubbelklik op het 
ZoneAlarm-icoontje in de Windows-taakbalk. Wil je een overzicht van 


Mijn blog . 


welke programma’s welke toelatingen hebben gekregen, dan klik je 
links Procram ControL aan, en open je vervolgens rechtsboven het tab- 
blad Procrams. In de eerste kolom zie je dan alle toepassingen die al een 
verbinding hebben willen leggen met je eigen netwerk (Trusteo) of met 
het internet. De tweede kolom toont je of programma’s zelf informatie 
van het netwerk of van het internet mogen ophalen, en in de derde 
kolom lees je of applicaties mogen reageren op ongevraagde verzoeken 
van het netwerk of van het internet. Een vinkje betekent ja’, een 
kruisje ‘neen’. Bij een vraagteken zal ZoneAlarm telkens expliciet naar 
je toelating vragen. Door deze icoontjes aan te klikken, kan je de toe- 
lating aanpassen (zie afbeelding 3). 
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program to send and 
receive e-mail 


Entry Detail 
Productname _ Cerberus FTP Server El 
File name C:\Program Files\Cerberus\Cerberus exe 
Last policy upd… Not applicable Add 
Version 2,3,7,0 
Last modified d… 7/07/2005 19:44:52 
Ans KA hd] 


Eila size 


Click here to upgrade to ZoneAlarm Pro. 


Je kan ZoneAlarm altijd nog herconfigureren. 


meest uitgebreide blogdienst in België. 
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1 jaar gratis aan te melden voor deze dienst. (t.w.v. 72,60 EUR) 


COMBELL 


internet solutions 
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MAC Address Control 


Security Mode WPA-PSK (no server) 


Wireless Bridge Encryption Technique (AES %|pefault is TKIP 


Pre-shared Key (PSK) ||love my number 1 Magazine Clickdd 
Restart Router 


Restore Factory Default WPA-PSK (no server) 

Wireless Protected Access with a Pre-Shared 
Key: The key is a password, in the form of a 
word, phrase or series of letters and 
numbers, The key must be between 8 and 63 
characters long and can include spaces and 
symbols, Each client that connects to the 
network must use the same key (Pre-Shared 


Key). More Info 


SavelBackup Settings 
Restore Previous Settings 
Firmware Update 

System Settings 


STAP 1 / STANDAARDAANPASSINGEN 


In stap 1 van scenario 2 hebben we de beveiliging van ons draadloos 
toegangspunt voorlopig gelaten voor wat ze is. Hoog tijd om daar 
verandering in te brengen. We willen namelijk niet dat buren met hun 
netwerkadapters al dan niet gewild gegevens uit ons netwerkje oppik- 
ken, of downloads starten! Je kan alvast beginnen met het moeilijker 
te maken voor potentiële pottenkijkers. Begin met het standaardwacht- 
woord van je toegangspunt te wijzigen in een steviger exemplaar, en 


Obscure PSK 


Clear Changes 


Je draadloze netwerk is pas veilig na encryptie met WPA. 


wijzig meteen ook de standaardnaam van je draadloze netwerk — het 
zogenoemde SSID (Service Set Identifier). Deze naam wordt door de 
toegangspunten meestal automatisch over het netwerk verspreid 
(broadcast SSID). Eventueel kan je deze optie uitschakelen. Hou er wel 
rekening mee dat netwerkadapters het draadloze netwerk dan niet 
meer automatisch kunnen vinden; je zal het SSID eigenhandig moeten 
intikken. 

Als je altijd van dezelfde netwerkadapters gebruik maakt, kan je verder 
overwegen het zogenoemde mac-adres van die adapters in het configu- 
ratiescherm van je draadloos toegangspunt op te nemen. Op die manier 
ontneem je andere adapters de mogelijkheid zich op je WLAN aan te 
sluiten — hoewel ervaren wardrivers zo’n beveiliging snel weten te om- 
zeilen. Het mac-adres van je draadloze adapter vis je zo uit: tik ‘cmd’ 
in bij Urtvoeren, en bevestig met OK. Achter de opdrachtprompt voer je 


de opdracht “ipconfig /all’ uit (bevestig met Enter). Spoor je draadloze 
verbinding op en noteer de combinatie achter Fysiek apres. Dat is het 
gezochte mac-adres. 


STAP2 / TOEGANGSPUNT VERSLEUTELEN 


Zonder twijfel de belangrijkste vorm van beveiliging is het activeren 
van encryptie: alle gegevens circuleren dan versleuteld over het WLAN. 
Er zijn momenteel twee encryptiemethodes in gebruik: WEP (Wired 
Equivalent Privacy) en WPA (Wifi Protected Access). Van deze laatste 
bestaat intussen ook al een opvolger: WPA2. Heel wat toegangspunten 
bieden beide methodes aan, en in dat geval kies je zonder meer voor 
WPA, omdat deze techniek nóg veiliger is. Voorwaarde is natuurlijk wel 


dat ook al je draadloze adapters hiermee overweg kunnen — mogelijk 
pas na een firmware-upgrade. Deze encryptie activeer je vervolgens op 
je toegangspunt. Tik in je browser het interne ip-adres van je toegangs- 
punt in. Ergens in het configuratievenster tref je zeker een optie aan 
die bijvoorbeeld naar de naam Security luistert. Kies hier WPA, en meer 


CED Cable/DSL Gateway Router Setup utility 
e, Home| Help| Logout Internet Status: 
LAN Setup w 


LAN Settings ireless > Channel and SSID 


DHCP Client List 
To make changes to the wireless settings of the router, make the changes here, Click “Apply 
Changes" to save the settings. More Info 

Connection Type 


DNS 


RE rlen Wireless Channel > le &l = En 
SSID > |belkin5dg HEHE …e ‚DE HACKERS GAAN VERSCHIETEN MARIHA / 
Wireless Mode > [54G-Auto 


Security 


Nen ae hoonss Point Broadcast SSID > El More Info 


Wireless Bridge 


Virtual Servers 


Protected Mode > On | More Info 


Client IP Filters 


MAC Address Filtering Turbo Mode > off | Turbo mode incorporates 
DMZ ZZZEZZZZL__ Aîreless network speed 
enhancements, More Info 


WAN Ping Blocking 
Security Log 


Parental Control 


Apply Changes 


Restart Router 
Restore Factory Default 
SavelBackup Settings 


Restore Previous Settings 
a El zon 
In het configuratiemenu van je router kan je al heel wat instellingen wijzigen die je EC N ETW ER K BE vel L I GEN 


netwerk beter beveiligen. 
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bepaald de versie PSK die geen speciale server behoeft. PSK staat voor 
Pre-Shared Key en kan je in feite als een wachtwoord beschouwen. De 
meest frequente encryptietechniek is TKIP, maar als je netwerkadap- 
ters dat ondersteunen, kan je hier ook het nóg veiligere AES aanstip- 
pen. Tik een stevig wachtwoord in en bevestig (zie afbeelding 2). 
Herstart desnoods het toegangspunt. 


je de WiFi-configuratie aan XP overlaat. Open vervolgens het Conrraura- 
TIESCHERM en kies NETWERK- EN INTERNET-VERBINDINGEN, gevolgd door Netwerk- 
VERBINDINGEN. Klik met de rechtermuisknop op de draadloze netwerkver- 
binding en kies ErENscHappen. Open het tabblad DRAADLOZE NETWERKEN en 
zorg dat de optie DRAADLOOS NETWERK AUTOMATISCH CONFIGUREREN aangestipt is. 
Tref je hier nog geen beschikbare netwerken aan, druk dan op de knop 


-hg- 


DRAADLOZE NETWERKEN en vervolgens op VERBINDING MAKEN — in het andere 
geval selecteer je het gewenste netwerk bij VooRKEURSNETWERKEN en druk 
je op Ereenscrappen. Nu kan je de encryptiemethode en de netwerksleu- 
tel intikken (tweemaal), waarna je je keuzes bevestigt (zie afbeelding 
3). Even later kan je adapter weer vlotjes communiceren met het 
draadloze toegangspunt. 


STAP 3 / ADAPTERS HERCONFIGUREREN 


Natuurlijk moet je elke 
WiFi-adapter nog afstem- 
men op de beveiliging die 
je in het toegangspunt 
hebt geactiveerd. Dat kan 
via de softwaretool die bij 
je adapter is geleverd, 
maar het gaat net zo goed 
met de tool die in Windows 
XP ingebouwd is. Om hier- 
mee te werken, moet je de 
andere tool wellicht wel 
eerst duidelijk maken dat 


Eigenschappen van draadloos netwerk 
Wireless Network Properties | Authentication 


naam (SSID} 


VAKTAAL 


In dit netwerk is tel nodig voor. 


FIRMWARE: Bijna elk stukje hardware bevat firmware. Dit is een ‘intelligent’ stuk software 
dat er voor zorgt dat je randapparatuur (cd-rom speler, mp3-speler, pda) correct opstart en 
alles doet wat het moet doen. Voor veel apparaten wordt er regelmatig nieuwe firmware 
uitgebracht om extra functies toe te voegen of mankementen te verbeteren. 


Network Authentication WPA-PSK 5 


Data Encryption: TKIP v 


AES 


Netwerksleutel 


MAC-ADRES: Media Access Control. Elke netwerkkaart (draadloos of niet) bevat een uniek 
mac-adres. Dit is een code waarmee de netwerkkaart door het netwerk herkend wordt. 


WARDRIVER: Sinds de opkomst van WiFi zijn er heel wat draadloze netwerken beschikbaar. 
Ook thuis en op het werk zijn er steeds meer draadloze netwerken. Bij wardriving gaat iemand 
met een notebook of pda op pad om niet-beschermde draadloze netwerken te ontdekken. Hij 


Geef je netwerkadapter (s) kan dan surfen op andermans kosten en zelfs gedeelde bestanden inkijken. 


dezelfde beveiliging mee! 


Steeds meer mensen boeken hun reis via het internet, en bijna iedereen zoekt online wel eens iets 
op over zijn vakantiebestemming. Aan internetadressen geen gebrek, want de reissites schieten als 
paddestoelen uit de grond. Maar het komt er op aan de juiste gegevens te vinden! De redactie van 
Clickx Magazine bundelde al hun reiskennis in een nieuw boek: het Webkompas Reizen 2006, met meer 
dan 2.000 onmisbare sites en tal van nuttige tips. 

In dit boek doen we haarfijn uit de doeken hoe je gericht op zoek gaat naar toeristische informatie, of 
hoe je aan het andere eind van de wereld toch nog kan surfen en je mail kan checken. Maar ook hoe 
je van je vakantiefoto's een wervelende presentatie maakt, een kant-en-klaar fotoalbum laat drukken 
en nog meer van dat lekkers. We serveren je een waaier van internetadressen, netjes onderverdeeld 
in hapklare rubrieken, waaronder cruises, autovakanties, huisruil, budgetreizen, wintersport, wellness, 


kamperen en openbaar vervoer. We bieden je ook een uitgebreid dossier over België en Nederland, 


Je Ze be 


fint op Zkt 


met als kers op de taart niet minder dan 80 landenfiches van de populairste vakantiebestemmingen, 


met informatie over logies, vervoer, trekpleisters, ontspanning, media, evenementen en citytrips. 
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8 EEn N fi OE * wetgeving en meer dan 
Het Webkompas Reizen 2006 vind je nu in de krantenwinkel, of kan je online bestellen op ° voorbereiding 2.000 onmisbare / 
Www.clickxmagazine.be ° online onderweg sites Ad 
° themareizen e 
* en veel meer 


FWD | PC Magazine | Smart Business Strategies | Clickx Magazine | PC Gids | GameSpot | ZDNet 


SCENARIO 13: ouderlijke controle 


Onze redacteur heeft weliswaar al een vrij doortastende monitoringtool 
geïnstalleerd (zie UltraVNC in scenario 10), maar helemaal gelukkig is 
hij hier toch niet mee. Hij vindt het uiteindelijk toch een behoorlijke 
aanslag op de privacy. Hij gebruikt het dan ook zeer zelden, en com- 
municeert zo’n controlesessie nadien ook telkens aan zijn zoon. Je kan 
natuurlijk ook (een combinatie van) minder doortastende middelen 
inzetten. Wij sommen de belangrijkste technieken even voor je op. 


STAP 1 / ROUTER HOUDT JE KORT 


Heel wat moderne routers hebben een ingebouwde firewallmodule voor 
ouderlijk toezicht (zie afbeelding 1). Het komt er gewoonlijk op neer dat 
je per (ip-adres van een) netwerktoestel kan instellen wannéér dat (niet) 
van bepaalde internetdiensten gebruik mag maken. Op die manier kan je 
bijvoorbeeld een tijdsklok zetten op het surfen, e-mailen, chatten en/of 
downloaden. Vaak kan je ook webadressen en zelfs sleutelwoorden intikken 
die de router vervolgens zal blokkeren. Een aantal routerproducenten 
zoals Linksys en Zyxell zijn zelfs scheep gegaan met online services voor 
ouderlijke controle, vergelijkbaar met de gespecialiseerde software die 
we in stap 3 vermelden. Deze online services zijn echter niet gratis. 


STAP 2 / WINDOWS XP HELPT OOK MEE 


Ook zonder bijkomende software kan je al bepaalde beperkingen in Win- 
dows XP inbouwen. Je kan bijvoorbeeld vastleggen binnen welke tijds- 
spanne kindlief zich bij Windows mag aanmelden. Daarvoor start je de 
opdrachtprompt op. Dat doe je door bij Urrvoeren ‘cmd’ in te tikken, 
waarna je bevestigt met OK. Met de opdracht NET USER GEBRUIKERSNAAM /PASS- 


Parental Control Rule Set-up 


page allows users to define vernce lemutont of chart PCs, mehodeng P address. sernce type and scheduling nde crteria Fer 
De Ui acg Baele. yoe need 10 congere the URL adders Erst on the * URL Blocking Sáe” page For the scheduling fanchon, 
you also need to configure the schedufe rule Írst on Me “Schedde Fe” page 


Cermputer Nama _ OMCP chant best x 


Pre Defined Blecking Options 


MTIP, ICP Pon 60, 2128, 000, e0m0, E91 a} 


Karrmeneda vas menor Io boch 


De router houdt 
een (ouderlijk) 
oogje in het 
zeil. 
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id De aanmeldtijden kan je 
7 El snel aan banden leggen. 


WORDCHG:N0 voorkom je dat de gebruiker zijn eigen inlogwachtwoord nog 
kan wijzigen — uiteraard vervang je GEBRUIKERSNAAM door de juiste account- 
naam van je kind. Met de parameter /passworcna:ves laat je dat weer toe. 
Elke opdracht dien je wel met de Enrter-toets te bevestigen. Vergeet 
absoluut niet het slash-teken in te tikken na de gebruikersnaam! Met 
een opdracht als NET USER GEBRUIKERSNAAM /TIMES:MA-VR,6PM-QPM;ZA-20,9AM-8PM 
beperk je de inlogtijden tot enkele uren per dag (in het weekend ben je 
iets soepeler). Gebruik je een Engelstalige Windows, pas dan de namen 
van de dagen aan. Vergeet ook hier de slash niet (zie afbeelding 2)! 


STAP 3 / AAN DE SLAG MET GESPECIALISEERDE SOFTWARE 


Je kan natuurlijk ook de hulp van extra software inroepen. Eigenlijk kan 
je hier twee wegen uit: een alomvattende beveiligingssuite, of een pakket 
dat in ouderlijk toezicht gespecialiseerd is. 

McAfee Internet Security Suite 2006 is een knappe 
beveiligingssuite met een flexibele inhoudsfilter die je per gebruiker kan 
instellen. Er is ook een optie om een tijdsslot in te stellen, zodat kindlief 
buiten de toegestane uren niet langer op internet geraakt. De suites 
Norton Internet Security 2006 en Panda Plati- 
num 2006 Internet Security bevatten een vergelijk 
bare inhoudsfilter, maar ontberen een tijdsslot. 

Verder zijn er nog een rist tools die zich puur toeleggen op ouderlijk 
toezicht. Het ET trio behoort zonder twijfel tot de beste in hun 


soort: CyberPatrol [www.cyberpatroL com (zie afbeelding 3), ), CYBERsitter fvww] 
en Net RE nd Van elk van deze pakketten 


kan je een gratis 
proefversie _down- 
5 loaden. De prijs voor 
nen een jaarlijks abonne- 
ment schommelt tel- 
kens rond € 32. 


CyberPatrol op patrouille. 


